Beiträge von oqxhuucx

  • Weiterleitung auf Sex Seite

    Zitat

    Original geschrieben von flashhawk
    Oha, da musste wohl jemand mit ´nem Zweitaccount mal Luft ablassen...


    Luft? Die Art und Weise der gefährdung personenbezogener Daten und auch die MENGE dieser Daten ist alles andere als "Luft ablassen".
    Solche fahrlässige Gefährdungen müssen nachdem die Betreiber nichts unternommen haben entsprechend der öffentlichkeit gemeldet werden. Hoffentlich kümmert sich das BSI auch mal darum: http://telefon-treff.de/showth…ostid=5738387#post5738387

  • Sicherheitskritisches Problem! - HTTPS fehlt beim login

    Dann muss dieses Forum schlenigst geschlossen werden!


    Hier wird schon Traffic der User auf Pornoseiten umgeleitet: http://telefon-treff.de/showthread.php?s=&postid=5738385


    Ich werde entsprechende E-Mails ans Bundesamt für Sicherheit in der Informationstechnik(BSI), heise, golem, netzpolitik.org usw. senden, dass hier nachweislich sehenden Auges und damit BEWUSST personenenbezogene Daten völlig ungeschützt durchs Internet übetragen werden, die Server nicht gewartet werden und Sicherheitslücken aufweisen und meldungen diesbezüglich ignoriert werden.


    Damit treten die Admins nämlich in rechtliche Haftung für gestohlene Daten!


    Das ist einfach eine Unverschämtheit seitens der Admins meldungen diesbezüglich einfach zu ignorieren.


    Hier sind stand gerade laut Forensoftware folgende Anzahl an Benutzer registriert: 222243


    Das ist einfach krank eine Datenbank dieses Ausmaßes so ins Internet zu stellen.

  • Weiterleitung auf Sex Seite

    Das hängt damit zusammen, dass JEDER der Zugriff auf z.B. dein WLAN oder sich irgendwo im Internet befindet und dein Traffic geht da durch deine Logindaten einsehen kann die du hier eingibst, natürlich inclusive das Passwort in Klartext.
    Er hat auch problemlos die Möglichkeit deine Anfragen an den telefon-treff.de Server dort hin um zu biegen worauf er gerade Lust hätte. Auch zu einer SEX-Seite.


    Was kann dagegen unternommen werden? Die technische verantwortlichen können KOSTENFREI die Server und dein Traffic der zu den Servern geht absichern.
    Tuen sie das? Nein. Wurden Sie mehrfach darauf hin aufmerksam gemacht, dass Sie damit jeden Besucher dieser Homepage gefärden, weil jeder telefon-treff.de-Link auf gefährliche Seiten umgeleitet werden können und damit auch noch zusätlich die Browser von jeden telefon-treff.de Besucher angegriffen werden kann? JA, SIE WURDEN MEHRFACH AUF DIE SICHERHEITSPROBLEME AUFMERKSAM GEMACHT!


    Hier liegt die reinste Unfähigkeit seitens der Betreiber dieser Homepage vor! Sie gefährden alle Nutzerdaten!
    Man beachte: Wenn sich der unfähige Admin bei telefon-treff.de einloggt, dann sendet dieser seine Zugangsdaten im Klartext durch vielleicht ein offener(unverschlüsselter WLAN Traffic) Schnellrestaurant-Hotspot. Danach kann sich jeder der auch nur ein Bisschen Ahnung von sicherheit hat und sich im selben Schnellrestaurant befand mit seine Zugangsdaten ins Forum einloggen und die Datenbanken einsehen.
    Und da der Admin mehrfach gezeigt hat, dass er offensichtlich keine Ahnung von Sicherheit hat, loggt er sich vermutlich auch als Admin in öffentliche/ungeschützt WLANs hier im telefon-treff.de Forum ein.


    Und hier nochmal einiges mehr dazu zum nachlesen: http://telefon-treff.de/showth…eadid=592890&pagenumber=4

  • Sicherheitskritisches Problem! - HTTPS fehlt beim login

    Zitat

    Original geschrieben von klausN80X
    Wobei es bei TT im gründe nichts zu holen geben sollte.
    Also warum sollte es gehackt werden.


    Ich würde ein Abendessen darauf wetten, dass die Passwörter im Klartext oder wenn überhaupt miserabel gehasht werden.
    Somit hätte man benutzernamen + e-mail adressen + passwörter. Das stellt schon einen wert dar. Insbesondere da die benutzerdatenbank nicht aus "finanziell schwache kinder" sonder eher aus "erwachsene fachleute" besteht. Somit haben die Daten in der TT-Datenbank auch einen höheren Wert.


    Wer den Server hacken möchte kann sich mal CVE's wie z.B. CVE-2010-0010 ansehen. Damit wäre auf dem server Code Execution möglich. Und hoffentlich versucht der Admin jetzt nicht sinnfreies "security by obscurity" indem er diese faktische Info aus meinem Post löscht. Den diese hat man innerhalb von Sekunden wenn man auch nur das geringste von sicherheit versteht.

  • Sicherheitskritisches Problem! - HTTPS fehlt beim login

    Zitat

    Original geschrieben von klausN80X
    Ja sicher ist https sicherer, aber nochmal die Frage:
    Was genau soll den bei TT geschützt werden?


    Die Zugangsdaten der Benutzer, die Clients der Benutzer, die proivate Kommunikation der Benutzer.


    Zitat

    Original geschrieben von klausN80X
    Die Nicknemen und Passwörter?


    Ja

    Zitat

    Original geschrieben von klausN80X
    Die Posts, die auch ohne Anmeldung jeder lesen kann?
    Die Umfragen, die auch so jeder sehen kann?


    Selbstverständlich nicht, da diese an die öffentlichkeit geschickt werden.

    Zitat

    Original geschrieben von klausN80X
    Private Nachrichten, die idR eh keine relevanten Infos beinhalten?


    Ja, selbstverständlich! Usability sagt dem "durchschnittlichen" Benutzer, dass etwas was private Nachricht heißt auch privat ist. Wenn das nicht geschützt ist und somit nicht privat, ist so etwas auch gerichtlich in ein Rechtsstreit nicht haltbar.
    In PNs werden Kontodaten und Adressen bei privatverkäufen im Biete/Suche Forum geteilt.
    In PNs werden Kundennummern von kundenaccounts geteilt. Verbunden mit der E-Mail adresse die man im account hier einsehen kann und das Passwort welches im Klartext durchs internet geschickt wird sind damit aufgrund der Tatsache, dass der Homo Sapiens dazu neigt überall das gleiche Passwort ein zu setzen schon sehr kritische Sachen möglich!


    Zitat

    Original geschrieben von klausN80X
    Die Handyhistorie, die eher unspektakulär ist?
    Oder die Signaturen, die auch jeder einsehen kann?


    So etwas ist doch öffentlich - wie die posts. Darum gehts doch gar nicht.


    Zitat

    Original geschrieben von klausN80X
    Am Ende würde https wohl eher https schützen, genial!
    Das rechtfertigt die Umstellung eines zunehmend rückläufig frequentierten Forums. :top:
    (Sorry für meinen Sarkasmus, aber ich bin mir relativ sicher das ihr den Funken Wahrheit darin finden werdet.)


    Hä? HTTPS nutzt TLS um den Payload zu schützten. Man nutzt nicht TLS um TLS ab zu sichern. Was ist den das für eine blödsinnige Aussage?


    Weiterhin sagst du offensichtlich sarkastisch, dass es sich nicht lohnt dieses forum durch vollständlich kostenfreie Umstellung des HTTP-Servers (hat nichts mit der veraltenen vbulletin software zu tun) weil dieses forum eh ausstirbt? Also lieber unsicher sterben lassen anstatt das der Admin mal 30Min Zeit investiert und den Apache Version 1.3.41 HTTP-Server auf HTTPS aktualisiert?
    Stattdessen sollte er weiterhin eher die Zeit darin investieren, Beiträge von User falsch ein zu Ordnen (er hat meinen alten Beitrag in "neue Forensoftware" Thread geschoben obwohl jeder weiß, dass die Forensoftware idr. von der HTTP-Serversoftware unabhängig ist).
    Außerdem möchte ich gerne wissen warum um himmels willen der Verweis in meinen ersten Post auf LetsEncrypt mit XXX ersetzt wurde. LetsEncrypt ist kein gewinnorientierter CA(certificate authority) sondern ein gemeinnütziger Zusammenschluss vieler Individuen die einzig und allein "Geld ins Projekt stecken" um das Internet sicherer zu machen.
    Verweis auf letsencrypt ist ebenso wenig werbung wie ein verweis auf wikipedia oder ein verweis auf firefox.
    Zitiert lieber alle facebook-links oder sonstigen gewinnorientierten blödsinn dessen Geschäftsbedingungen die Grundrechte in Deutschland verletzen (Urteile zum Thema kann ich verlinken falls gewünscht).

  • Sicherheitskritisches Problem! - HTTPS fehlt beim login

    Guten Abend. Ich bekam mehrere Warnungen beim erstellen des Accounts und beim login, dass HTTPS fehlt und meine Daten völlig ungeschützt incl. Passwort durchs Internet übertragen werden und jeder dazwischen das lesen kann!


    Bitte schaltet DRINGEND HTTPS ein. Mit xxxx kostet das nicht mal etwas: https://xxxx/



    EDIT: Warum ist mein alter Beitrag gelöscht worden? Habe diesen zum Glück noch gesichert gehabt und konnte diesen so rekonstruieren. Warum werden sicherheitskritische Meldungen hier im Forum gelöscht?!